S3 Ep92: Log4Shell4Ever، سفری تجاویز، اور دھوکہ دہی [آڈیو + ٹیکسٹ]

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

ڈوگ  فیس بک گھوٹالے، ہمیشہ کے لیے Log4Shell، اور سائبر سیف سمر کے لیے ٹپس۔

وہ سب، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں، اور میرے ساتھ، ہمیشہ کی طرح، پال ڈکلن ہے۔

تم کیسے کرتے ہو، پال؟

---

بطخ.  میں سپر ڈوپر ہوں، ڈگلس۔

یہاں انگلینڈ میں تھوڑا سا ٹھنڈا ہونا شروع ہو رہا ہے۔

---

ڈوگ  جی ہاں.

---

بطخ.  مجھے لگتا ہے کہ میں نے ایک اچھے بڑے ملک کی سائیکل سواری پر جانے کے لیے غلط دن کا انتخاب کیا۔

جب میں باہر نکلا تو یہ ایک اچھا خیال تھا: "میں جانتا ہوں، میں ایک اچھی لمبی سواری کروں گا، اور پھر میں ابھی ٹرین گھر پہنچوں گا، اس لیے میں پوڈ کاسٹ کے لیے کافی وقت میں گھر پر ہوں۔"

اور جب میں وہاں پہنچا، شدید گرمی کی وجہ سے، ٹرینیں ہر دو گھنٹے میں صرف ایک بار چل رہی تھیں، اور میں نے صرف ایک یاد کیا تھا۔

تو مجھے واپسی کے سارے راستے پر سوار ہونا پڑا… اور میں نے اسے وقت پر بنایا۔

---

ڈوگ  ٹھیک ہے، آپ چلیں… آپ اور میں موسم گرما کے مکمل جھولوں میں ہیں، اور ہمارے پاس شو میں بعد میں آنے والے موسم گرما کے لیے کچھ نکات ہیں۔

لیکن پہلے، میں اس کے بارے میں بات کرنا چاہوں گا۔ ٹیک ہسٹری میں یہ ہفتہ.

اس ہفتے، 1968 میں، انٹیل کارپوریشن کو گورڈن مور (وہ مور کے قانون کا) اور رابرٹ نوائس نے بنایا تھا۔

نوائس کو انٹیگریٹڈ سرکٹ، یا مائیکرو چِپ کا علمبردار قرار دیا جاتا ہے۔

انٹیل کا پہلا مائکرو پروسیسر 4004 ہوگا، جو کیلکولیٹر کے لیے استعمال ہوتا تھا۔

اور، اے تفریح ​​حقیقت، نام Intel انٹیگریٹڈ الیکٹرانکس کا ایک میشپ ہے۔

تو… وہ کمپنی بہت اچھی نکلی۔

---

بطخ.  جی ہاں!

میرا اندازہ ہے، منصفانہ طور پر، شاید آپ کہیں گے، "شریک سرخیل"؟

---

ڈوگ  جی ہاں. میرے پاس تھا، "ایک علمبردار۔"

---

بطخ.  ٹیکساس انسٹرومینٹس کے جیک کِلبی، میرے خیال میں پہلا انٹیگریٹڈ سرکٹ لے کر آئے تھے، لیکن پھر بھی اس کے لیے سرکٹ کے پرزوں کو ایک ساتھ وائرڈ کرنے کی ضرورت تھی۔

اور نوائس نے اس مسئلے کو حل کیا کہ ان سب کو سلکان میں کیسے بیک کیا جائے۔

میں نے دراصل جیک کِلبرن کی ایک تقریر میں شرکت کی تھی، جب میں ایک تازہ ترین کمپیوٹر سائنس دان تھا۔

بالکل دلچسپ - امریکہ میں 1950 کی دہائی میں تحقیق!

اور ظاہر ہے، کِلبی کو مشہور طور پر نوبل انعام ملا، میرے خیال میں سال 2000 میں۔

لیکن رابرٹ نوائس، مجھے یقین ہے، مشترکہ فاتح ہوتا، لیکن وہ اس وقت تک مر چکا تھا، اور آپ کو بعد از مرگ نوبل انعام نہیں مل سکتا۔

لہذا، نوائس کو کبھی نوبل انعام نہیں ملا، اور جیک سینٹ کلیئر کِلبی نے حاصل کیا۔

---

ڈوگ  ٹھیک ہے، یہ ایک طویل عرصہ پہلے تھا ...

…اور اب سے کافی عرصہ بعد، ہم اب بھی Log4Shell کے بارے میں بات کر رہے ہوں گے…

---

بطخ.  اوہ، پیارے، جی ہاں.

---

ڈوگ  اگر چہ اس کے لیے کوئی حل موجود ہے، امریکہ سامنے آیا ہے اور کہا ہے کہ اس چیز کو ہونے میں کئی دہائیاں لگ سکتی ہیں۔ اصل میں طے شدہ.

---

بطخ.  آئیے منصفانہ رہیں… انہوں نے کہا، "شاید ایک دہائی یا اس سے زیادہ۔"

یہ ایک جسم ہے جسے کہا جاتا ہے۔ سائبرسیکیوریٹی ریویو بورڈ، CSRB (محکمہ ہوم لینڈ سیکیورٹی کا حصہ)، جو اس سال کے شروع میں تشکیل دیا گیا تھا۔

مجھے نہیں معلوم کہ یہ خاص طور پر Log4Shell کی وجہ سے تشکیل دیا گیا تھا، یا صرف سپلائی چین سورس کوڈ کے مسائل کی وجہ سے ایک بڑا سودا بن گیا تھا۔

اور Log4Shell ایک چیز ہونے کے تقریباً آٹھ ماہ بعد، انہوں نے 42 صفحات پر مشتمل یہ رپورٹ تیار کی… اکیلے ایگزیکٹو سمری تقریباً 3 صفحات پر مشتمل ہے۔

اور جب میں نے پہلی بار اس پر نظر ڈالی تو میں نے سوچا، "اوہ، ہم چلتے ہیں۔"

کچھ سرکاری ملازمین سے کہا گیا ہے، "چلو، تمہاری رپورٹ کہاں ہے؟ آپ جائزہ بورڈ ہیں۔ شائع کریں یا فنا ہو جائیں!”

دراصل، اگرچہ اس کے کچھ حصے واقعی بھاری جا رہے ہیں، میرے خیال میں آپ کو اس کے ذریعے پڑھنا چاہیے۔

انہوں نے اس بارے میں کچھ چیزیں ڈالی ہیں کہ کس طرح، ایک سافٹ ویئر وینڈر کے طور پر، ایک سافٹ ویئر تخلیق کار کے طور پر، ایک کمپنی کے طور پر جو دوسرے لوگوں کو سافٹ ویئر کے حل فراہم کر رہی ہے، یہ حقیقت میں اتنا مشکل نہیں ہے کہ اپنے آپ سے رابطہ کرنا آسان ہو، تاکہ لوگ آپ کو بتا سکیں کہ جب کوئی چیز موجود ہو۔ آپ نے نظر انداز کیا.

مثال کے طور پر، "آپ کے کوڈ میں ابھی بھی Log4J ورژن موجود ہے جسے آپ نے دنیا کی بہترین مرضی کے ساتھ نہیں دیکھا، اور آپ نے اسے ٹھیک نہیں کیا ہے۔"

آپ کیوں نہیں چاہیں گے کہ کوئی ایسا شخص جو آپ کی مدد کرنے کی کوشش کر رہا ہو وہ آپ کو ڈھونڈ سکے اور آپ سے آسانی سے رابطہ کر سکے۔

---

ڈوگ  اور وہ ایسی چیزیں کہتے ہیں جیسے… یہ پہلا ٹیبل اسٹیکس کی طرح ہے، لیکن یہ کسی کے لیے بھی اچھا ہے، خاص طور پر چھوٹے کاروبار جنہوں نے اس کے بارے میں نہیں سوچا ہے: ایک اثاثہ اور ایپلیکیشن انوینٹری تیار کریں، تاکہ آپ کو معلوم ہو کہ آپ کہاں چل رہے ہیں۔

---

بطخ.  وہ واضح طور پر اس کی دھمکی یا دعویٰ نہیں کرتے ہیں، کیونکہ یہ ان سرکاری ملازمین کے لیے نہیں ہے کہ وہ قوانین بنائیں (جو مقننہ پر منحصر ہے)… لیکن میرے خیال میں وہ جو کہہ رہے ہیں وہ یہ ہے، "اس صلاحیت کو فروغ دیں، کیونکہ اگر آپ ایسا نہیں کرتے۔ ، یا آپ کو پریشان نہیں کیا جا سکتا، یا آپ یہ نہیں جان سکتے کہ اسے کیسے کرنا ہے، یا آپ کو لگتا ہے کہ آپ کے گاہک اس پر توجہ نہیں دیں گے، بالآخر آپ کو معلوم ہو سکتا ہے کہ آپ کے پاس بہت کم یا کوئی چارہ نہیں ہے!

خاص طور پر اگر آپ وفاقی حکومت کو مصنوعات بیچنا چاہتے ہیں! [ہنسی]

---

ڈوگ  جی ہاں، اور ہم اس کے بارے میں پہلے بھی بات کر چکے ہیں… ایک اور چیز جس کے بارے میں کچھ کمپنیوں نے ابھی تک سوچا بھی نہیں ہو گا، لیکن اس کا ہونا ضروری ہے: ایک کمزوری ردعمل پروگرام۔

اس صورت میں کیا ہوتا ہے کہ آپ کو خطرہ ہے؟

آپ کیا اقدامات کر رہے ہیں؟

گیم پلان کیا ہے جس کی پیروی آپ ان سے نمٹنے کے لیے کرتے ہیں؟

---

بطخ.  ہاں یہ وہی ہے جس کا میں پہلے اشارہ کر رہا تھا۔

اس کا آسان حصہ یہ ہے کہ آپ کو کسی کے لیے یہ معلوم کرنے کے لیے ایک آسان طریقہ کی ضرورت ہے کہ وہ آپ کی تنظیم میں رپورٹیں کہاں بھیجتے ہیں… اور پھر آپ کو ایک کمپنی کے طور پر اندرونی طور پر یہ عہد کرنا ہوگا کہ جب آپ کو رپورٹیں موصول ہوں گی، تو آپ عمل کریں گے۔ ان پر.

جیسا کہ میں نے کہا، ذرا تصور کریں کہ آپ کو جاوا کا یہ بڑا ٹول کٹ مل گیا ہے جسے آپ بیچ رہے ہیں، ایک بڑی ایپ جس میں بہت سے اجزاء ہیں، اور بیک اینڈ سسٹمز میں سے ایک میں، جاوا کی یہ بڑی چیز ہے۔

اور وہاں، تصور کریں کہ ابھی بھی ایک کمزور Log4J موجود ہے۔ .JAR فائل جسے آپ نے نظر انداز کیا ہے۔

آپ کیوں نہیں چاہیں گے کہ جس شخص نے اسے دریافت کیا ہے وہ آپ کو جلدی اور آسانی سے بتانے کے قابل ہو، یہاں تک کہ ایک سادہ ای میل کے ذریعے بھی؟

جتنی بار آپ ٹویٹر پر جاتے ہیں اور آپ سائبر سیکیورٹی کے مشہور محققین کو یہ کہتے ہوئے دیکھتے ہیں، "ارے، کیا کوئی جانتا ہے کہ XYZ Corp سے کیسے رابطہ کیا جائے؟"

کیا ہمارے پاس ایک ایسے لڑکے کے پوڈ کاسٹ پر کوئی کیس نہیں تھا جس نے آخر کار… مجھے لگتا ہے کہ وہ TikTok یا اس طرح کی کوئی چیز پر گیا تھا [ہنسی] کیونکہ وہ پتہ نہیں چل سکا اس کمپنی سے کیسے رابطہ کریں۔

اور اس نے ایک ویڈیو بنا کر کہا، "ارے لوگو، میں جانتا ہوں کہ آپ کو اپنی سوشل میڈیا ویڈیوز پسند ہیں، میں صرف آپ کو اس مسئلے کے بارے میں بتانے کی کوشش کر رہا ہوں۔"

اور آخر کار انہوں نے یہ دیکھا۔

کاش وہ آپ کی کمپنی DOT com SLASH security DOT txt پر جا سکتا تھا، مثال کے طور پر، اور اسے ایک ای میل پتہ مل جاتا!

"یہ وہ جگہ ہے جہاں ہم ترجیح دیں گے کہ آپ ہم سے رابطہ کریں۔ یا ہم اس پروگرام کے ذریعے بگ باؤنٹیز کرتے ہیں… آپ اس کے لیے کیسے سائن اپ کرتے ہیں۔ اگر آپ ادا کرنا چاہتے ہیں۔"

یہ اتنا مشکل نہیں ہے!

اور اس کا مطلب یہ ہے کہ کوئی جو آپ کو یہ بتانا چاہتا ہے کہ آپ کے پاس ایک بگ ہے جسے آپ نے سوچا تھا کہ آپ نے اسے ٹھیک کر دیا ہے۔

---

ڈوگ  مجھے اس مضمون میں کمی پسند ہے!

آپ لکھتے ہیں اور آپ جان ایف کینیڈی کو چینل کرتے ہیں، کہتے ہیں [کینیڈی کی آواز] "یہ مت پوچھو کہ باقی سب آپ کے لیے کیا کر سکتے ہیں، بلکہ اس بارے میں سوچیں کہ آپ اپنے لیے کیا کر سکتے ہیں، کیونکہ آپ جو بھی بہتری لائیں گے وہ یقیناً باقی سب کو بھی فائدہ دے گا۔ "

ٹھیک ہے، اگر آپ اس کے بارے میں پڑھنا چاہتے ہیں تو یہ سائٹ پر موجود ہے… اگر آپ کسی بھی طرح کی پوزیشن میں ہیں تو آپ کو ان چیزوں میں سے کسی ایک سے نمٹنا ہے تو اسے پڑھنا ضروری ہے۔

یہ ایک اچھا پڑھنا ہے… کم از کم تین صفحات کا خلاصہ پڑھیں، اگر 42 صفحات پر مشتمل رپورٹ نہیں۔

---

بطخ.  جی ہاں، یہ طویل ہے، لیکن میں نے اسے حیرت انگیز طور پر سوچا، اور مجھے بہت خوشگوار حیرت ہوئی۔

اور میں نے سوچا کہ اگر لوگ اسے پڑھیں، اور بے ترتیب لوگ اس کا دسواں حصہ دل میں لے لیں…

…ہمیں اجتماعی طور پر ایک بہتر جگہ پر ہونا چاہیے۔

---

ڈوگ  ٹھیک ہے، ساتھ ساتھ آگے بڑھ رہے ہیں۔

یہ گرمیوں کی چھٹیوں کا موسم ہے، اور اس میں اکثر آپ کے گیجٹس کو اپنے ساتھ لے جانا شامل ہوتا ہے۔

ہم کچھ ہے لطف اندوز کرنے کے لئے تجاویز آپ کی گرمیوں کی تعطیلات کے بغیر، غلطی سے، "مزہ نہیں آرہا"۔

---

بطخ.  "ہمیں کتنے گیجٹ لینے چاہئیں؟ [ڈرامائی] ان سب کو پیک کرو!

افسوس کی بات یہ ہے کہ آپ جتنا زیادہ خطرہ مول لیں گے، آپ کا خطرہ اتنا ہی بڑھ جائے گا۔

---

ڈوگ  یہاں آپ کا پہلا مشورہ یہ ہے کہ آپ اپنے تمام گیجٹس پیک کر رہے ہیں… کیا آپ کو روانہ ہونے سے پہلے بیک اپ لینا چاہیے؟

جواب کا اندازہ لگانا ہے، "ہاں!"

---

بطخ.  مجھے لگتا ہے کہ یہ بہت واضح ہے۔

ہر کوئی جانتا ہے کہ آپ کو بیک اپ بنانا چاہئے، لیکن انہوں نے اسے روک دیا۔

لہذا میں نے سوچا کہ یہ ہمارے چھوٹے میکسم، یا سچائی کو ختم کرنے کا ایک موقع ہے: "واحد بیک اپ جس کا آپ کو کبھی پچھتاوا ہوگا وہ ہے جو آپ نے نہیں بنایا۔"

اور دوسری چیز اس بات کو یقینی بنانے کے بارے میں کہ آپ نے کسی ڈیوائس کا بیک اپ لیا ہے - چاہے وہ کلاؤڈ اکاؤنٹ میں ہو جس سے آپ پھر لاگ آؤٹ کرتے ہیں، یا پھر یہ ایک ہٹنے والی ڈرائیو میں ہے جسے آپ انکرپٹ کرتے ہیں اور الماری میں کہیں رکھتے ہیں - اس کا مطلب ہے کہ آپ ڈیوائس پر آپ کے ڈیجیٹل فوٹ پرنٹ کو اتار سکتا ہے۔

ہم دیکھیں گے کہ یہ ایک اچھا خیال کیوں ہو سکتا ہے… صرف اس لیے آپ کی پوری ڈیجیٹل زندگی اور تاریخ آپ کے پاس نہیں ہے۔

بات یہ ہے کہ ایک اچھا بیک اپ لے کر، اور پھر آپ کے پاس فون پر موجود چیزوں کو پتلا کرنے سے، اگر آپ اسے کھو دیتے ہیں تو اس میں غلط ہونا کم ہے۔ اگر ضبط کر لیا جائے؛ اگر امیگریشن حکام اسے دیکھنا چاہتے ہیں؛ یہ جو کچھ بھی ہے.

---

ڈوگ  اور، کسی حد تک گھومنے پھرنے سے متعلق، آپ اپنا لیپ ٹاپ اور یا اپنا موبائل فون کھو سکتے ہیں… اس لیے آپ کو ان آلات کو خفیہ کرنا چاہیے۔

---

بطخ.  جی ہاں.

اب، ان دنوں زیادہ تر ڈیوائسز بطور ڈیفالٹ انکرپٹ ہیں۔

یہ یقینی طور پر اینڈرائیڈ کے لیے سچ ہے۔ یہ یقینی طور پر iOS کے لیے سچ ہے۔ اور مجھے لگتا ہے کہ جب آپ ان دنوں ونڈوز لیپ ٹاپ حاصل کرتے ہیں، تو بٹ لاکر موجود ہوتا ہے۔

میں ونڈوز صارف نہیں ہوں، لہذا مجھے یقین نہیں ہے… لیکن یقینی طور پر، یہاں تک کہ اگر آپ کے پاس ونڈوز ہوم ایڈیشن ہے (جو پریشان کن ہے، اور مجھے امید ہے کہ مستقبل میں یہ تبدیلیاں، پریشان کن طور پر آپ کو ہٹنے والی ڈرائیوز پر بٹ لاکر استعمال کرنے نہیں دیتی) … یہ آپ کو اپنی ہارڈ ڈسک پر بٹ لاکر استعمال کرنے دیتا ہے۔

کیوں نہیں؟

کیونکہ اس کا مطلب یہ ہے کہ اگر آپ اسے کھو دیتے ہیں، یا وہ ضبط ہو جاتا ہے، یا آپ کا لیپ ٹاپ یا فون چوری ہو جاتا ہے، تو یہ صرف ایک معاملہ نہیں ہے کہ کوئی بدمعاش آپ کا لیپ ٹاپ کھولتا ہے، ہارڈ ڈسک کو ان پلگ کرتا ہے، اسے کسی دوسرے کمپیوٹر میں لگاتا ہے اور اس سے سب کچھ پڑھ لیتا ہے۔ ، بالکل اسی طرح.

احتیاط کیوں نہیں کرتے؟

اور، بلاشبہ، فون پر، عام طور پر چونکہ یہ پہلے سے انکرپٹڈ ہوتا ہے، انکرپشن کیز پہلے سے تیار ہوتی ہیں اور آپ کے لاک کوڈ کے ذریعے محفوظ ہوتی ہیں۔

مت جاؤ، "ٹھیک ہے، میں سڑک پر ہوں گا، مجھ پر دباؤ ہو سکتا ہے، مجھے جلدی میں اس کی ضرورت ہو سکتی ہے... میں بس استعمال کروں گا 1234 or 0000 چھٹی کی مدت کے لیے۔"

ایسا مت کرو!

آپ کے فون کا لاک کوڈ وہی ہے جو فون پر موجود ڈیٹا کے لیے اصل فل آن انکرپشن اور ڈکرپشن کیز کا انتظام کرتا ہے۔

تو ایک لمبا لاک کوڈ چنیں… میں دس ہندسوں یا اس سے زیادہ کا مشورہ دیتا ہوں۔

اسے سیٹ کریں، اور اسے گھر میں کچھ دنوں کے لیے استعمال کرنے کی مشق کریں، آپ کے جانے سے پہلے ایک ہفتہ تک، جب تک کہ یہ دوسری نوعیت کا نہ ہو۔

بس مت جاؤ، 1234 کافی اچھا ہے، یا "اوہ، میرے پاس ایک لمبا لاک کوڈ ہوگا… میں جاؤں گا۔ 0000 0000، یہ *آٹھ* حروف ہیں، کوئی بھی اس کے بارے میں کبھی نہیں سوچے گا!

---

ڈوگ  ٹھیک ہے، اور یہ واقعی ایک دلچسپ ہے: آپ کو قومی سرحدوں کو عبور کرنے والے لوگوں کے بارے میں کچھ مشورے ہیں۔

---

بطخ.  جی ہاں، یہ ان دنوں ایک مسئلہ بن گیا ہے.

کیونکہ بہت سے ممالک – میرے خیال میں ان میں امریکہ اور برطانیہ ہیں، لیکن وہ کسی بھی طرح سے واحد نہیں ہیں – کہہ سکتے ہیں، "دیکھو، ہم آپ کے آلے کو دیکھنا چاہتے ہیں۔ کیا آپ اسے کھول دیں گے، براہ مہربانی؟"

اور تم جاؤ، "نہیں، بالکل نہیں! یہ نجی ہے! تمہیں ایسا کرنے کا کوئی حق نہیں ہے!"

ٹھیک ہے، شاید وہ کرتے ہیں، اور شاید وہ نہیں کرتے… آپ ابھی ملک میں نہیں ہیں۔

یہ "میرا باورچی خانہ، میرے اصول" ہے، لہذا وہ کہہ سکتے ہیں، "ٹھیک ہے، ٹھیک ہے، *آپ کو* انکار کرنے کا پورا حق ہے... لیکن پھر *ہم* آپ کے داخلے سے انکار کرنے والے ہیں۔ یہاں ارائیولز لاؤنج میں انتظار کریں جب تک کہ ہم آپ کو اگلی فلائٹ ہوم پر جانے کے لیے ڈیپارچر لاؤنج میں منتقل نہ کر دیں۔

بنیادی طور پر، کیا ہونے والا ہے اس کے بارے میں *فکر* نہ کریں، جیسے کہ "مجھے سرحد پر ڈیٹا ظاہر کرنے پر مجبور کیا جا سکتا ہے۔"

*دیکھیں* داخلے کی شرائط کیا ہیں… آپ جس ملک میں جا رہے ہیں وہاں پرائیویسی اور نگرانی کے اصول۔

اور اگر آپ واقعی انہیں پسند نہیں کرتے ہیں، تو وہاں نہ جائیں! جانے کے لیے کہیں اور تلاش کریں۔

یا صرف ملک میں داخل ہوں، سچ بتائیں، اور اپنے ڈیجیٹل فٹ پرنٹ کو کم کریں۔

جیسا کہ ہم بیک اپ کے ساتھ کہہ رہے تھے… آپ اپنے ساتھ جتنی کم "ڈیجیٹل لائف" چیزیں لے کر جائیں گے، اتنا ہی کم غلطی ہوگی، اور امکان اتنا ہی کم ہے کہ آپ اسے کھو دیں گے۔

تو، "تیار رہو" وہی ہے جو میں کہہ رہا ہوں۔

---

ڈوگ  ٹھیک ہے، اور یہ ایک اچھا ہے: پبلک وائی فائی، کیا یہ محفوظ ہے یا غیر محفوظ؟

یہ منحصر ہے، مجھے لگتا ہے؟

---

بطخ.  جی ہاں.

بہت سارے لوگ ہیں جو کہتے ہیں، "گولی، اگر آپ پبلک وائی فائی استعمال کرتے ہیں، تو آپ برباد ہو جائیں گے!"

یقیناً، ہم سب برسوں سے عوامی وائی فائی استعمال کر رہے ہیں۔

میں کسی کو نہیں جانتا جس نے اصل میں ہیک ہونے کے خوف سے اسے استعمال کرنا چھوڑ دیا ہو، لیکن میں جانتا ہوں کہ لوگ جاتے ہیں، "ٹھیک ہے، میں جانتا ہوں کہ خطرات کیا ہیں۔ وہ راؤٹر کسی کی بھی ملکیت ہو سکتا تھا۔ یہ اس پر کچھ بدمعاش ہو سکتا ہے; اس کا ایک بے ایمان کافی شاپ آپریٹر ہو سکتا ہے۔ یا یہ صرف یہ ہو سکتا ہے کہ کسی نے اسے ہیک کر لیا ہو جو گزشتہ ماہ یہاں چھٹی پر تھا کیونکہ ان کے خیال میں یہ بہت مضحکہ خیز تھا، اور یہ ڈیٹا لیک کر رہا ہے کیونکہ 'ہا ہا ہا'۔

لیکن اگر آپ ایسی ایپس استعمال کر رہے ہیں جن میں اینڈ ٹو اینڈ انکرپشن ہے، اور اگر آپ ایسی سائٹس استعمال کر رہے ہیں جو HTTPS ہیں تاکہ وہ آپ کے آلے اور دوسرے سرے کے درمیان اینڈ ٹو اینڈ انکرپٹڈ ہوں، تو اس کی کافی حدیں ہیں۔ مکمل طور پر ہیک شدہ راؤٹر بھی کیا ظاہر کر سکتا ہے۔

کیونکہ کوئی بھی میلویئر جو پچھلے وزیٹر کے ذریعے لگایا گیا ہے وہ *راؤٹر* پر لگایا جائے گا، *آپ کے آلے* پر نہیں۔

---

ڈوگ  ٹھیک ہے، اگلا… جسے میں کمپیوٹنگ کا شاذ و نادر ہی صاف کیے جانے والے عوامی بیت الخلاء کا ورژن سمجھتا ہوں۔

کیا مجھے ہوائی اڈوں یا ہوٹلوں میں کیوسک پی سی استعمال کرنا چاہیے؟

سائبر سیکیورٹی کو ایک طرف… صرف ان لوگوں کی تعداد جو اس گندے، گندے کی بورڈ اور ماؤس پر ہاتھ ڈال چکے ہیں!

---

بطخ.  بالکل ٹھیک.

تو، یہ "کیا مجھے پبلک وائی فائی استعمال کرنا چاہیے؟"

کیا مجھے Kkiosk PC استعمال کرنا چاہیے، کہہ لیں، ہوٹل میں یا ہوائی اڈے میں؟

وائی ​​فائی راؤٹر جو ہیک ہو چکا ہے اور ایک کیوسک پی سی جو ہیک ہو گیا ہے کے درمیان بڑا فرق یہ ہے کہ اگر آپ کا ٹریفک کسی سمجھوتہ شدہ راؤٹر کے ذریعے انکرپٹ ہو رہا ہے، تو اس کی ایک حد ہے کہ یہ آپ کی کتنی جاسوسی کر سکتا ہے۔

لیکن اگر آپ کا ٹریفک ایک ہیک یا سمجھوتہ شدہ کیوسک کمپیوٹر سے شروع ہو رہا ہے، تو بنیادی طور پر، سائبر سیکیورٹی کے نقطہ نظر سے، *یہ 100% گیم اوور* ہے۔

دوسرے لفظوں میں، اس کیوسک پی سی کو *انٹرنیٹ پر جو ڈیٹا آپ بھیجتے اور وصول کرتے ہیں* تک بلا روک ٹوک رسائی حاصل کر سکتے ہیں* اس سے پہلے کہ یہ انکرپٹ ہوجائے (اور جو چیز آپ کو واپس ملے اس کے بعد ڈکرپٹ ہوجائے)۔

لہذا خفیہ کاری بنیادی طور پر غیر متعلق ہو جاتی ہے۔

*ہر کلی اسٹروک جسے آپ ٹائپ کرتے ہیں*… آپ کو فرض کرنا چاہیے کہ اس کا سراغ لگایا جا رہا ہے۔

*جب بھی اسکرین پر کچھ ہوتا ہے*… آپ کو فرض کرنا چاہیے کہ کوئی اسکرین شاٹ لے سکتا ہے۔

*ہر وہ چیز جسے آپ پرنٹ کرتے ہیں*… آپ کو فرض کرنا چاہیے کہ کسی چھپی ہوئی فائل میں ایک کاپی بنائی گئی ہے۔

لہذا میرا مشورہ یہ ہے کہ ان کیوسک پی سی کو ضروری برائی سمجھیں اور انہیں صرف اس صورت میں استعمال کریں جب آپ کو واقعی کرنا پڑے۔

---

ڈوگ  جی ہاں، میں گزشتہ ہفتے کے آخر میں ایک ہوٹل میں تھا جس میں ایک کیوسک پی سی تھا، اور تجسس مجھ سے بڑھ گیا۔

میں چلا گیا… یہ ونڈوز 10 چلا رہا تھا، اور آپ اس پر کچھ بھی انسٹال کر سکتے ہیں۔

اسے لاک ڈاؤن نہیں کیا گیا تھا، اور جس نے بھی اسے پہلے استعمال کیا تھا اس نے فیس بک سے لاگ آؤٹ نہیں کیا تھا!

اور یہ ایک سلسلہ ہوٹل ہے جسے بہتر طور پر معلوم ہونا چاہیے تھا… لیکن یہ صرف ایک وسیع کھلا نظام تھا جس سے کسی نے لاگ آؤٹ نہیں کیا تھا۔ سائبر کرائم کا ایک ممکنہ سیس پول ہونے کا انتظار کر رہا ہے۔

---

بطخ.  تو آپ صرف ایک USB اسٹک لگا سکتے ہیں اور پھر جا سکتے ہیں، "کیلاگر انسٹال کریں"؟

---

ڈوگ  جی ہاں!

---

بطخ.  "نیٹ ورک سنیفر انسٹال کریں۔"

---

ڈوگ  اوہو!

---

بطخ.  "روٹ کٹ انسٹال کریں۔"

---

ڈوگ  جی ہاں!

---

بطخ.  "وال پیپر پر بھڑکتی ہوئی کھوپڑیوں کو رکھیں۔"

---

ڈوگ  نہیں شکریہ!

اس اگلے سوال کا کوئی بہترین جواب نہیں ہے…

اسپائی کیمز اور ہوٹل کے کمروں اور ایئر بی این بی کے بارے میں کیا خیال ہے؟

یہ تلاش کرنا مشکل ہیں۔

---

بطخ.  جی ہاں، میں نے اسے شامل کیا کیونکہ یہ ایک سوال ہے جو ہم سے باقاعدگی سے پوچھا جاتا ہے۔

ہم نے غیر اعلانیہ جاسوس کیمروں کی تین مختلف مثالیں لکھی ہیں۔ (یہ ایک طرح کی ٹیوٹولوجی ہے، ہے نا؟)

ایک آسٹریلیا میں فارم ورک ہاسٹل میں تھا، جہاں یہ چیپ وزیٹر ویزا پر لوگوں کو مدعو کر رہا تھا، جنہیں فارم کا کام کرنے کی اجازت ہے، یہ کہتے ہوئے کہ "میں آپ کو رہنے کے لیے جگہ دوں گا۔"

معلوم ہوا کہ وہ ایک پیپنگ ٹام تھا۔

ایک آئرلینڈ میں ایک Airbnb گھر میں تھا۔

یہ ایک ایسا خاندان تھا جس نے نیوزی لینڈ سے سارا سفر کیا، اس لیے وہ صرف گاڑی میں بیٹھ کر گھر نہیں جا سکے، ہار مانیں!

اور دوسرا جنوبی کوریا کا ایک حقیقی ہوٹل تھا… یہ واقعی ایک خوفناک ہوٹل تھا۔

مجھے نہیں لگتا کہ یہ وہ سلسلہ تھا جو ہوٹل کا مالک تھا، یہ کوئی بدعنوان ملازم تھا یا کچھ اور۔

انہوں نے کمروں میں جاسوس کیمرے لگائے، اور میں تم سے نہیں بچتا، ڈوگ… وہ دراصل فروخت کر رہے تھے، بنیادی طور پر، فی ویو تنخواہ۔

میرا مطلب ہے، یہ کتنا خوفناک ہے؟

اچھی خبر، ان میں سے دو مقدمات میں، مجرموں کو اصل میں گرفتار کیا گیا تھا اور ان پر فرد جرم عائد کی گئی تھی، تو یہ ان کے لیے بری طرح ختم ہوا، جو کہ بالکل درست ہے۔

مسئلہ یہ ہے کہ… اگر آپ Airbnb کی کہانی پڑھتے ہیں (ہمیں Naked Security پر ایک لنک مل گیا ہے) وہ لڑکا جو وہاں اپنے خاندان کے ساتھ رہ رہا تھا، وہ دراصل ایک It person تھا، جو سائبر سیکیورٹی کا ماہر تھا۔

اور اس نے دیکھا کہ کمروں میں سے ایک (آپ کو یہ اعلان کرنا چاہیے کہ آیا ایئر بی این بی میں کوئی کیمرے ہیں، بظاہر) دو دھوئیں کے الارم تھے۔

آپ کو دو دھوئیں کے الارم کب نظر آتے ہیں؟ آپ کو صرف ایک کی ضرورت ہے۔

اور اس طرح اس نے ان میں سے ایک کو دیکھنا شروع کیا، اور یہ دھوئیں کے الارم کی طرح لگ رہا تھا۔

دوسرا، ٹھیک ہے، چھوٹا سا سوراخ جس میں ایل ای ڈی ہے جو پلک جھپکتی نہیں تھی۔

اور جب اس نے جھانکا تو اس نے سوچا، "ایسا لگتا ہے۔ مشکوک طور پر عینک کی طرح ایک کیمرے کے لیے!"

اور یہ درحقیقت ایک جاسوس کیمرہ تھا جو دھوئیں کے الارم کے بھیس میں تھا۔

مالک نے اسے باقاعدہ وائی فائی سے جوڑ دیا تھا، اس لیے وہ نیٹ ورک اسکین کر کے اسے تلاش کرنے میں کامیاب ہو گیا… Nmap جیسے ٹول کا استعمال کرتے ہوئے، یا اس جیسی کوئی چیز۔

اسے یہ آلہ ملا اور جب اس نے اسے پنگ کیا، تو اس کے نیٹ ورک کے دستخط سے یہ بالکل واضح تھا کہ یہ دراصل ایک ویب کیم تھا، حالانکہ ایک ویب کیم دھوئیں کے الارم میں چھپا ہوا تھا۔

تو وہ خوش نصیب ہوا۔

ہم نے اس کے بارے میں ایک مضمون لکھا جس میں اس نے جو کچھ پایا، اس کو لنک کرتے ہوئے اور اس کی وضاحت کرتے ہوئے کہ اس نے اس وقت کیا بلاگ کیا تھا۔

یہ 2019 میں واپس آیا، تو یہ تین سال پہلے کی بات ہے، اس لیے ٹیکنالوجی شاید اس کے بعد سے کچھ زیادہ ہی آئی ہے۔

بہرحال، وہ یہ دیکھنے کے لیے آن لائن گیا، "میں جہاں ٹھہرتا ہوں، اگلی جگہوں پر کیمرے تلاش کرنے کا میرے پاس اصل میں کیا موقع ہے؟"

اور اسے ایک جاسوس کیمرہ ملا - میں تصور کرتا ہوں کہ تصویر کا معیار کافی خوفناک ہوگا، لیکن یہ اب بھی ایک *کام کرنے والا ڈیجیٹل جاسوس کیمرہ* ہے۔ وائرلیس نہیں، آپ کو اس میں وائر لگانا ہوگا – ایمبیڈڈ *فلپس ہیڈ سکرو* میں، ڈوگ!

---

ڈوگ  حیرت انگیز.

---

بطخ.  لفظی طور پر سکرو کی وہ قسم جو آپ کو کور پلیٹ میں ملے گی جو آپ کو لائٹ سوئچ پر ملتی ہے، یوں کہیے کہ اس سکرو کا سائز۔

یا وہ سکرو جو آپ کو پاور آؤٹ لیٹ کور پلیٹ پر ملتا ہے… باقاعدہ، معمولی سائز کا فلپس ہیڈ سکرو۔

---

ڈوگ  میں انہیں ابھی ایمیزون پر دیکھ رہا ہوں!

"پن ہول سکرو کیمرہ"، $20 میں۔

---

بطخ.  اگر وہ واپس اسی نیٹ ورک سے منسلک نہیں ہے، یا اگر یہ کسی ایسے آلے سے منسلک ہے جو صرف SD کارڈ میں ریکارڈ کرتا ہے، تو اسے تلاش کرنا بہت مشکل ہو جائے گا!

تو، افسوس کے ساتھ، اس سوال کا جواب… جس وجہ سے میں نے چھٹا سوال نہیں لکھا، "میں جن کمروں میں ٹھہرا ہوں ان میں اسپائی کیمز کیسے تلاش کروں؟"

جواب یہ ہے کہ آپ کوشش کر سکتے ہیں، لیکن بدقسمتی سے، یہ پوری چیز ہے "ثبوت کی عدم موجودگی عدم موجودگی کا ثبوت نہیں ہے"۔

بدقسمتی سے، ہمارے پاس ایسا مشورہ نہیں ہے جس میں کہا گیا ہو، "ایک چھوٹا سا گیزمو ہے جسے آپ خرید سکتے ہیں جو کہ موبائل فون کے سائز کا ہے۔ آپ ایک بٹن دباتے ہیں اور اگر کمرے میں اسپائی کیم ہو تو وہ بلیپ ہوجاتا ہے۔"

---

ڈوگ  ٹھیک ہے. آپ میں سے ان لوگوں کے لیے ہماری آخری ٹپ جو آپ کی مدد نہیں کر سکتے: "میں چھٹیوں پر جا رہا ہوں، لیکن اگر میں اپنے کام کا لیپ ٹاپ ساتھ لے جانا چاہوں تو کیا ہوگا؟"

---

بطخ.  میں اس کا جواب نہیں دے سکتا۔

آپ اس کا جواب نہیں دے سکتے۔

یہ آپ کا لیپ ٹاپ نہیں ہے، یہ کام کا لیپ ٹاپ ہے۔

تو، سادہ جواب ہے، "پوچھو!"

اور اگر وہ کہتے ہیں، "آپ کہاں جا رہے ہیں؟"، اور آپ ملک کا نام دیتے ہیں اور وہ کہتے ہیں، "نہیں"…

…تو وہ ہے، آپ اسے ساتھ نہیں لے جا سکتے۔

شاید صرف یہ کہو، "بہت اچھا، کیا میں اسے یہاں چھوڑ سکتا ہوں؟ کیا آپ اسے آئی ٹی الماری میں بند کر سکتے ہیں جب تک کہ میں واپس نہ آؤں؟

اگر آپ جا کر IT سے پوچھیں، "میں کنٹری X جا رہا ہوں۔ اگر میں اپنے کام کا لیپ ٹاپ ساتھ لے جا رہا ہوں، تو کیا آپ کے پاس کوئی خاص سفارشات ہیں؟"…

…انہیں سنیں!

کیونکہ اگر کام یہ سوچتا ہے کہ آپ جس جگہ جا رہے ہیں وہاں پرائیویسی اور نگرانی کے بارے میں ایسی چیزیں ہیں جن کے بارے میں آپ کو جاننا چاہیے، تو وہ چیزیں شاید آپ کی گھریلو زندگی پر لاگو ہوتی ہیں۔

---

ڈوگ  ٹھیک ہے، یہ ایک بہت اچھا مضمون ہے… اس کا باقی حصہ پڑھیں۔

---

بطخ.  مجھے ان دو جھنگلوں پر بہت فخر ہے جن کے ساتھ میں نے ختم کیا!

---

ڈوگ  جی ہاں!

ہم نے سنا ہے، "اگر شک ہو تو اسے مت دو۔"

لیکن یہ ایک نیا ہے جس کے ساتھ آپ آئے ہیں، جو مجھے واقعی پسند ہے….

---

بطخ.  "اگر آپ کی زندگی آپ کے فون پر ہے / اسے گھر پر کیوں نہیں چھوڑ دیتے؟"

---

ڈوگ  ہاں، تم جاؤ!

ٹھیک ہے، وقت کے مفاد میں، ہمارے پاس سائٹ پر ایک اور مضمون ہے جسے میں آپ سے پڑھنے کی درخواست کرتا ہوں۔ اسے کہتے ہیں: فیس بک 2FA سکیمرز کی واپسی، اس بار صرف 21 منٹ میں

یہ وہی اسکینڈل ہے جس میں 28 منٹ لگتے تھے، اس لیے انہوں نے اس اسکینڈل سے سات منٹ منڈوائے ہیں۔

اور ہمارے پاس اس پوسٹ کے بارے میں قارئین کا سوال ہے۔

ریڈر پیٹر لکھتے ہیں، جزوی طور پر: "کیا آپ واقعی ان چیزوں کو اتفاقیہ سمجھتے ہیں؟ میں نے حال ہی میں اپنے سسر کے برٹش ٹیلی کام براڈ بینڈ کنٹریکٹ کو تبدیل کرنے میں مدد کی، اور جس دن یہ تبدیلی آگے بڑھی، ان کے پاس برٹش ٹیلی کام سے ایک فشنگ ٹیلی فون کال تھی۔ ظاہر ہے، یہ کسی بھی دن ہو سکتا تھا، لیکن اس طرح کی چیزیں آپ کو وقت کے بارے میں حیران کر دیتی ہیں۔ پال…”

---

بطخ.  ہاں، ہمیں ہمیشہ ایسے لوگ ملتے ہیں جو جاتے ہیں، "آپ جانتے ہیں کیا؟ مجھے ان میں سے ایک دھوکہ ملا ہے…"

چاہے یہ فیس بک کے صفحے کے بارے میں ہو یا انسٹاگرام کے کاپی رائٹ کے بارے میں یا، اس چیپ کے والد کی طرح، ٹیلی کام سے متعلق… “مجھے اس اسکینڈل کا پتہ اسی صبح اس وقت ہوا جب میں نے کچھ ایسا کیا جس کا براہ راست تعلق اس گھوٹالے کے بارے میں تھا۔ یقیناً یہ اتفاق نہیں ہے؟‘‘

اور مجھے لگتا ہے کہ زیادہ تر لوگوں کے لیے، کیونکہ وہ ننگی سیکیورٹی پر تبصرہ کر رہے ہیں، انہیں احساس ہے کہ یہ ایک گھوٹالہ ہے، اس لیے وہ کہہ رہے ہیں، "یقینا بدمعاشوں کو معلوم تھا؟"

دوسرے لفظوں میں، کچھ اندرونی معلومات ہونی چاہئیں۔

اس کا دوسرا پہلو وہ لوگ ہیں جن کو *نہیں* احساس ہوتا ہے کہ یہ ایک گھوٹالہ ہے، اور وہ ننگی سیکیورٹی پر تبصرہ نہیں کریں گے، وہ کہتے ہیں، "اوہ، ٹھیک ہے، یہ اتفاق نہیں ہوسکتا، اس لیے یہ حقیقی ہونا چاہیے!"

زیادہ تر معاملات میں، میرے تجربے میں، یہ بالکل اتفاقیہ ہے، صرف حجم کی بنیاد پر۔

تو بات یہ ہے کہ زیادہ تر معاملات میں، مجھے یقین ہے کہ یہ گھوٹالے جو آپ کو ملتے ہیں، وہ اتفاقات ہیں، اور بدمعاش اس حقیقت پر بھروسہ کر رہے ہیں کہ جب آپ اتنے زیادہ لوگوں کو اتنی زیادہ ای میلز بھیج سکتے ہیں تو ان اتفاقات کو "تیار" کرنا آسان ہے۔ لوگ اتنی آسانی سے.

اور آپ *ہر کسی* کو دھوکہ دینے کی کوشش نہیں کر رہے ہیں، آپ صرف *کسی* کو دھوکہ دینے کی کوشش کر رہے ہیں۔

اور ڈوگ، اگر میں اسے آخر میں نچوڑ سکتا ہوں: "پاس ورڈ مینیجر کا استعمال کریں!"

کیونکہ اس کے بعد آپ غلطی سے غلط سائٹ پر صحیح پاس ورڈ نہیں ڈال سکتے، اور اس سے آپ کو ان گھوٹالوں میں بہت مدد ملتی ہے، چاہے وہ اتفاقی ہوں یا نہیں۔

---

ڈوگ  ٹھیک ہے، ہمیشہ کی طرح بہت اچھا!

تبصرہ کے لئے آپ کا شکریہ، پیٹر.

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔

یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں، اگلی بار تک،...

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]